Собственно интрига раскрыта еще в названии.
Есть домен под управлением 2008 R2, есть желание создать пользователя/пользователей которые будут иметь право на доступ к некоторым шарам, но при этом не смогут логиниться на компьютерах домена.

И в чём проблема? Создаёте. Затем запрещаете. В итоге он у Вас висит мёртвым грузом. ;)

В чём глобальная цель, и почему указана такая странная взаимоисключающая реализация?

В чём глобальная цель, и почему указана такая странная взаимоисключающая реализация? »
Некоторому софту ни к черту не нужен вход в систему, достаточно логина и пароля для произведения некоторых работ и выкладывания на определенные шары всякого барахла от логов до бэкапов. Или, к примеру, через GPO создаем в шедулере задание которое должно выполняться исключительно от имени админа, зачем при этом нужно чтобы некий таинственный Mr. Кто-то мог под этим админом зайти?
И в чём проблема? Создаёте. Затем запрещаете. В итоге он у Вас висит мёртвым грузом »
А вот с этого момента поподробнее. В линуксе это как-то попроще реализовано, дописал в свойствах пользователя "nologin" и от имени пользователя могут и службы запускаться, и скрипты выполняться, но залогиниться он уже не может, как сие сделано под виндами я несколько не догоняю. Да и зачем мертвым грузом? Нужно чтобы пользователь работать смог, но без входа в систему.

суть в том, что чтобы что-то запустить от имени пользователя, у него должно быть право логона. Пример: создал групповую политику, которая рядового доменного пользователя сделала членом группы локальных администраторов для машин в определенном OU. Все отлично, он администратор, но имеет право входа только на одну рабочую станцию (скажем свою), он не сможет установить/удалить программы, или выполнить вообще какие-либо действия на остальных машинах (введя свои логин и пароль при запросе на повышение прав), несмотря на то, что он администратор.

Elven,
явно такого права, как вы описали, нет.
вам нужно создать группу в AD, например "no_local_logon", через ГПО запретить этой группе локальный логон и добавить туда нужные служебные записи.

через ГПО запретить этой группе локальный логон и добавить туда нужные служебные записи »

А те учетки смогут, к примеру, писать в сетевую шару? Для сетевых МФУ очень-но актуально.

В параметрах учетной записи - разрешить только вход на компьютеры, т.е. добавить только файловый сервер и всё...

А те учетки смогут, к примеру, писать в сетевую шару? Для сетевых МФУ очень-но актуально. »
смогут.
В параметрах учетной записи - разрешить только вход на компьютеры, т.е. добавить только файловый сервер и всё... »
этот параметр отвечает за logon locally

cameron, спасибо. Стало несколько понятнее куда копать и в результате все весьма нормально получилось (в GPO Параметры безопасности\Локальные политики\Назначение прав пользователя\Запретить локалный вход и Запретить вход в систему через службу удаленных рабочих столов). Не все конечно, но покуда что хватит.